JP6774881B2 - Business processing system monitoring device and monitoring method - Google Patents
Business processing system monitoring device and monitoring method Download PDFInfo
- Publication number
- JP6774881B2 JP6774881B2 JP2017006126A JP2017006126A JP6774881B2 JP 6774881 B2 JP6774881 B2 JP 6774881B2 JP 2017006126 A JP2017006126 A JP 2017006126A JP 2017006126 A JP2017006126 A JP 2017006126A JP 6774881 B2 JP6774881 B2 JP 6774881B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- computer
- activity
- probability
- business processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 98
- 238000012545 processing Methods 0.000 title claims description 77
- 238000012806 monitoring device Methods 0.000 title claims description 27
- 238000012544 monitoring process Methods 0.000 title claims description 5
- 230000000694 effects Effects 0.000 claims description 217
- 238000001514 detection method Methods 0.000 claims description 66
- 230000006854 communication Effects 0.000 claims description 59
- 238000004891 communication Methods 0.000 claims description 59
- 238000004458 analytical method Methods 0.000 claims description 53
- 238000009795 derivation Methods 0.000 claims description 16
- 230000010485 coping Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 7
- 230000010365 information processing Effects 0.000 claims description 7
- 230000006399 behavior Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 description 74
- 238000004364 calculation method Methods 0.000 description 26
- 230000006870 function Effects 0.000 description 19
- 238000010276 construction Methods 0.000 description 18
- 238000012790 confirmation Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000012886 linear function Methods 0.000 description 4
- 230000004913 activation Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000007792 addition Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000011109 contamination Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 101150029683 gB gene Proteins 0.000 description 1
- 101150002378 gC gene Proteins 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、業務処理システム監視装置および監視方法に関する。 The present invention relates to a business processing system monitoring device and a monitoring method.
情報漏洩や不正アクセス等の脅威をもたらすコンピュータウイルスやスパイウェア、ボットプログラムといった悪意ある不正プログラム(マルウェア)が増加している。マルウェアの脅威からシステムやネットワークを守るには、最初に、マルウェアを検知する必要がある。 Malicious malicious programs (malware) such as computer viruses, spyware, and bot programs that pose threats such as information leakage and unauthorized access are increasing. To protect your system or network from malware threats, you first need to detect malware.
ここで、マルウェア検知には様々な方式があるが、方式によっては検知に時間がかかるという課題がある。また、高度なマルウェアに対しては検知精度が低下するという課題がある。さらに近年、高度なマルウェアを巧みに活用して特定の官庁や企業、組織のネットワークへ侵入し、機密情報の窃取やシステム破壊を行う「標的型攻撃」が、セキュリティ上の大きな脅威となっている。 Here, there are various methods for detecting malware, but there is a problem that detection takes time depending on the method. In addition, there is a problem that the detection accuracy is lowered for advanced malware. Furthermore, in recent years, "targeted attacks" that skillfully utilize advanced malware to invade the networks of specific government offices, companies, and organizations to steal confidential information or destroy systems have become a major security threat. ..
これらのマルウェアや標的型攻撃による被害を最小化するには、感染を抑制する仕組みが必要である。つまり、ソフトウェアの脆弱性等を悪用して初期感染端末からネットワーク内の他端末へ感染する活動を検知し、攻撃の影響範囲を分析し、分析結果を基に対処を決定し、決定した対処を実施する、といった仕組みが必要となる。 In order to minimize the damage caused by these malware and targeted attacks, it is necessary to have a mechanism to control infection. In other words, it detects the activity of infecting other terminals in the network from the initially infected terminal by exploiting software vulnerabilities, analyzes the range of influence of the attack, decides the countermeasure based on the analysis result, and takes the determined countermeasure. A mechanism such as implementation is required.
特に、影響範囲の分析は、効果的、効率的な攻撃対処の実現に必要である。影響範囲の分析とは、検知結果やシステムで行われているミッション(業務内容)を基に、攻撃被害を受けている可能性がある端末や今後被害を受ける可能性がある端末を特定する、ことである。 In particular, analysis of the extent of impact is necessary to realize effective and efficient attack response. The analysis of the range of influence is to identify terminals that may be damaged by attacks and terminals that may be damaged in the future based on the detection results and the mission (business content) performed by the system. That is.
特許文献1では、サイバー攻撃を実行する複数の攻撃シーケンスを攻撃シナリオとして保持し、現状のイベントが攻撃シナリオに一致するか否かを分析することで、検知装置により未だ検知されていない攻撃や被害を受けている端末を抽出する。そして、特許文献1では、抽出した攻撃に対して、対策データベースに格納されている対策を実施する。
In
特許文献2では、攻撃されていることが検知された端末を基準に、その端末から影響を受けている可能性のある端末を特定する。特許文献2では、ネットワークを通じて基準端末へアクセスした履歴を持つ端末や、その基準端末からアクセスされた履歴を持つ端末を、影響を受けている可能性がある端末として特定する。
In
非特許文献1では、マルウェアに感染した端末において、どのリソース(ファイル・プロセス)が汚染されているのかを、ベイジアンネットワークにより推定する。非特許文献1では、汚染が確定しているリソースと、推定対象リソース間とのインタラクション(ファイルのリード/ライト等)のタイミング等を基に、汚染されたかを推定する。
In Non-Patent
従来技術では、複数の端末を含む業務処理システムにおいて、複数の端末をまたがった任意の攻撃により被害を受ける端末を正確に特定するのは難しい。 In the prior art, in a business processing system including a plurality of terminals, it is difficult to accurately identify a terminal damaged by an arbitrary attack across a plurality of terminals.
特許文献1では、攻撃シナリオに従って影響範囲を特定するため、攻撃シナリオに含まれない攻撃に対しては対応できない。特許文献2では、通信状況のみを用いて影響の有無を分析しており、各端末の活動状況やシステム構成、防衛対象の業務システムのミッションを全く考慮していない。したがって、特許文献2も、高精度に影響範囲を特定することは難しい。
In
なお、非特許文献1は、単一の端末内において、被害を受けているリソースを特定する技術であり、複数の端末を含む業務処理システムに対応していない。
Note that Non-Patent
本発明は、上述の課題に鑑みてなされたもので、その目的は、複数のコンピュータを含む業務処理システムに対する攻撃を検出し、その攻撃による影響を分析できるようにした業務処理システム監視装置および監視方法を提供することにある。 The present invention has been made in view of the above problems, and an object of the present invention is a business processing system monitoring device and monitoring capable of detecting an attack on a business processing system including a plurality of computers and analyzing the influence of the attack. To provide a method.
上記課題を解決すべく、本発明の一つの観点に従う業務処理システム監視装置は、複数のコンピュータを含む業務処理システムを監視する装置であって、業務処理に関連して複数のコンピュータで実行される活動およびその活動の重要度を管理する活動管理部と、各コンピュータに対する攻撃を検知する検知部と、各コンピュータで実行される情報処理活動の重要度と、各コンピュータのシステム構成と、検知部による検知結果とに基づいて、各コンピュータのうちいずれか一つ以上のコンピュータに対する攻撃の影響を分析する影響分析部と、を備える。 A business processing system monitoring device according to one aspect of the present invention in order to solve the above problems is a device that monitors a business processing system including a plurality of computers, and is executed by a plurality of computers in connection with the business processing. It depends on the activity management unit that manages the activity and the importance of the activity, the detection unit that detects attacks on each computer, the importance of the information processing activity executed by each computer, the system configuration of each computer, and the detection unit. It is provided with an impact analysis unit that analyzes the impact of an attack on any one or more of the computers based on the detection result.
影響分析部は、各コンピュータのうち、攻撃が検知された第1コンピュータと、未だ検知されていないが攻撃されている可能性のある第2コンピュータを検出し、第2コンピュータが攻撃されている確率を算出することもできる。 The impact analysis unit detects the first computer in which the attack was detected and the second computer that has not been detected but may be attacked, and the probability that the second computer is being attacked. Can also be calculated.
本発明によれば、各コンピュータで実行される情報処理活動の重要度と、各コンピュータのシステム構成と、攻撃の検知結果とに基づいて、コンピュータに対する攻撃の影響を分析することができる。 According to the present invention, the influence of an attack on a computer can be analyzed based on the importance of the information processing activity executed by each computer, the system configuration of each computer, and the detection result of the attack.
以下、図面に基づいて、本発明の実施の形態を説明する。本実施形態に係る業務処理システム監視装置は、防衛対象の業務処理システム50におけるミッションと、各端末51の活動状況と、各端末のシステム構成に関する情報とに基づいて、攻撃対象となりやすい端末や攻撃被害を受けている端末との共通項が多い端末を特定する。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. The business processing system monitoring device according to the present embodiment is a terminal or an attack that is likely to be an attack target based on the mission in the business processing system 50 to be defended, the activity status of each
本実施形態の業務処理システム監視装置は、攻撃が業務処理システムに及ぼす影響を分析する影響分析部を持つ。影響分析部は、業務処理システムに含まれる複数の端末の中から、攻撃被害を受けている可能性がある被害推定端末と、現在は攻撃されていないが将来攻撃される可能性のある被害予測端末とを特定する。さらに、本実施形態の業務処理システム監視装置は、攻撃を検知する機能、攻撃への対処を導出する機能、対処を実施する機能を備える。 The business processing system monitoring device of the present embodiment has an impact analysis unit that analyzes the impact of an attack on the business processing system. The Impact Analysis Department considers damage estimation terminals that may have been damaged by attacks and damage predictions that are not currently attacked but may be attacked in the future from among multiple terminals included in the business processing system. Identify the terminal. Further, the business processing system monitoring device of the present embodiment includes a function of detecting an attack, a function of deriving a countermeasure against the attack, and a function of implementing the countermeasure.
本実施形態の業務処理システム監視装置は、業務処理システムで行われるミッション(業務内容)を把握し、攻撃発生時の影響を分析することで、攻撃に対する効果的な対策を実現する。本実施形態の業務処理システム監視装置によれば、標的型攻撃やマルウェア活動の影響を適切に分析でき、効果的な対処へ繋げることができる。 The business processing system monitoring device of the present embodiment realizes effective countermeasures against an attack by grasping the mission (business content) performed in the business processing system and analyzing the influence when an attack occurs. According to the business processing system monitoring device of the present embodiment, the effects of targeted attacks and malware activities can be appropriately analyzed, which can lead to effective countermeasures.
図1〜図17を用いて第1実施例を説明する。図1は、「業務処理システム監視装置」の一例としてのミッション保証装置10と、防衛対象の業務処理システム50とを含む全体システムの概略図である。図2は、ミッション保証装置10の構成例を示す。
The first embodiment will be described with reference to FIGS. 1 to 17. FIG. 1 is a schematic view of an entire system including a
ミッション保証装置10は、通信ネットワーク40を介して、業務処理システム50内の各端末51A〜51Fと接続されている。さらに、ミッション保証装置10は、通信ネットワーク40を監視するネットワークセンサ20とも接続されている。ミッション保証装置10は、通信ネットワーク40およびシステム端末51A〜51Fを介して、システム端末51A〜51Fをそれぞれ監視する端末センサ30と接続されている。
The
本実施例では、6台のシステム端末51A〜51Fから構成される業務処理システム50において、3台のシステム端末51A〜51Cにおいて攻撃が検知された場合の、分析および対処について述べる。残りの3台のシステム端末51D〜51Fに対する攻撃の影響を分析する方法について詳述する。システム端末51A〜51Fは、「コンピュータ」の例である。以下、システム端末を「端末」と略記する。
In this embodiment, analysis and countermeasures when an attack is detected in three
なお、以下では、攻撃による被害が確定的である端末を被害確定端末51A〜51Cと、攻撃による被害を受けている可能性がある端末を被害推定端末51Dと、今後被害を受ける可能性がある端末を被害予測端末51Eと、呼ぶ。端末51Fは、攻撃とは無関係の端末である。各端末51A〜51Fを特に区別しない場合は、端末51と呼ぶ。
In the following, the terminals for which the damage due to the attack is definite are the damage-determined
(システム概要) (System overview)
ミッション保証装置10は、例えば、ミッション関連活動の導出(200)、攻撃の検知(210)、攻撃による影響の分析(220)、分析結果に基づく対処の導出(230)、対処の実施(240)という5つの処理を担う。
The
さらに、ミッション保証装置10は、ミッション関連活動DB100、検知DB110、活動内容DB120、システム構成DB130、脆弱性情報DB140、ネットワーク接続性情報DB150、攻撃パターンDB160、ナレッジDB170、関係ネットワークDB180、および被害推定・被害予測DB190を備える。図中では、「DB」という語句を省略して表示する場合がある。
Further, the
ミッション保証装置10は、2つの動作フェイズを持つ。一つは、ミッション関連活動を導出するフェイズである。ミッション関連活動導出フェイズでは、業務処理システム50でのミッション関連活動を導出する。他の一つは、攻撃へ対処するフェイズである。攻撃対処フェイズは、ミッション関連活動導出フェイズの完了後に実施され、攻撃の検知および攻撃への対処を行う。
The
ミッション関連活動の導出は、ミッション関連活動導出部200で行う。ここで、ミッション関連活動とは、業務処理システム50で実施する業務に関連する端末51の挙動である。 The mission-related activity out-licensing is performed by the mission-related activity out-licensing unit 200. Here, the mission-related activity is the behavior of the terminal 51 related to the business performed by the business processing system 50.
図2に示すように、ミッション関連活動導出部200は、例えば、ミッション関連活動入力支援部201と、通常プロファイル作成部202を備える。ミッション関連活動入力支援部210は、ミッション関連活動に関する情報を業務処理システム50の管理者H1が入力するためのインターフェースである。
As shown in FIG. 2, the mission-related activity derivation unit 200 includes, for example, a mission-related activity input support unit 201 and a normal profile creation unit 202. The mission-related activity
通常プロファイル作成部220は、ネットワークセンサ20および各端末センサ30からの情報を基に、業務処理システム50における端末51の平常時の挙動を習得する。ミッション関連活動入力支援部210と通常プロファイル作成部220とで定義されたミッション関連活動は、ミッション関連活動データベース100へ格納される。以下、データベースをDBと略記する場合がある。
The normal
端末51への攻撃の検知は、検知部210で行う。検知部210は、ネットワークセンサ20および端末センサ30からの情報に基づいて、端末51への攻撃を検知する。具体的な検知方法の一例を挙げる。例えば、検知部210は、両センサ20,30から受信する端末挙動情報のうち、ミッション関連活動DB100に格納されていない挙動を不審活動と見做す。検知部210は、例えば一定時間内に一定数以上の不審活動を行う端末51を不審端末と見做す。検知部210は、不審端末の間で通信が発生しているとき、攻撃を検知する。以上の検知方法は一例であり、検知部210は、他の方法により、攻撃を検知してもよい。検知部210の検知結果は、検知DB110に格納される。
The
攻撃の影響分析は、影響分析部220で行う。影響分析部220は、ある端末51が被害推定端末である確率と、被害予測端末である確率とをそれぞれ導出する。影響分析部220は、後述のように、ミッション関連活動DB100、検知DB110、活動内容DB120、システム構成DB130、脆弱性情報DB140、ネットワーク接続性DB150、攻撃パターンDB160、ナレッジDB170を入力として用いる。
The impact analysis of the attack is performed by the
活動内容DB120には、ネットワークセンサ20および各端末センサ30から収集した情報が格納される。システム構成DB130には、業務処理システム50内の各端末51のシステム構成が格納される。脆弱性情報DB140には、外部から収集した脆弱性に関する情報が格納される。ネットワーク接続性DB150には、端末51間の通信可否に関する情報が格納される。攻撃パターンDB160には、業務処理システム50で過去に発生した攻撃パターンが格納される。例えば、或る端末が攻撃された場合に、その後、他の特定の端末が攻撃された割合が攻撃パターンとして、攻撃パターンDB160へ格納される。ナレッジDB170には、影響分析に資する情報が格納される。例えば、最近の攻撃のトレンドに関する情報等がナレッジDB170へ格納される。
Information collected from the
影響分析部220は、被害推定関係ネットワーク構築部221と、被害予測関係ネットワーク構築部222と、影響分析ユーザインタラクション部223と、確率算出部224とを含む。
The
被害推定関係ネットワーク構築部221は、或る端末51が被害推定端末である確率を他端末との関係性の観点から分析して、ベイジアンネットワークの形式で関係ネットワークDB180へ格納する。
The damage estimation relationship
被害予測関係ネットワーク構築部222は、或る端末51が被害予測端末である確率を他端末との関係性の観点から分析して、ベイジアンネットワークの形式で関係ネットワークDB180へ格納する。
The damage prediction relationship
影響分析ユーザインタラクション部223は、関係ネットワークDB180に格納されたベイジアンネットワークを可視化し、ミッション保証装置10を管理する管理者H2に提示する。管理者H2は、影響分析ユーザインタラクション部223を介して、ベイジアンネットワークの要素に修正を加える。
The impact analysis
確率算出部224は、修正が加えられたベイジアンネットワークを基に、各端末51が被害推定端末である確率と被害予測端末である確率とをそれぞれ算出し、算出結果を被害推定・被害予測DB190へ格納する。
The
攻撃に対する対処の導出は、対処導出部230で行う。対処導出部230は、被害推定・被害予測DB190の内容を基に、各端末51に対する対処策と対処策を実施する優先度とを決定する。例えば、被害推定端末・被害予測端末である確率が高い端末や、ミッションへの影響が高い端末には、高い優先度が設定される。各端末での対処策は、予め作成されている対処策候補の一覧表等を基に決めてもよい。対処策としては、例えば、端末51のネットワーク40からの遮断、端末51の強制シャットダウン、端末51が通信可能な相手端末の限定等が挙げられる。さらには、被害予測端末の場合、攻撃される前に、予め用意してあるバックアップ用端末へ切り替えてもよい。
The
対処の実施は、対処実施部240で行う。対処実施部240は、対処導出部230の決定に従って、通信ネットワーク40や端末センサ30に働きかけて、選択された対処策を実施する。
The coping is carried out by the coping
ネットワークセンサ20は、通信ネットワーク40の通信を監視し、どの端末51がどの端末と通信しているのかを記録する。ミッション保証装置10がミッション関連活動導出フェイズの場合、ネットワークセンサ20の記録を通常ミッション作成部220へ送信する。ミッション保証装置10が攻撃検知フェイズの場合、ネットワークセンサ20の記録を活動内容DB120へ格納する。
The
端末センサ30は、各端末51にインストールされており、各端末51の挙動を検出して記録する。端末センサ30は、例えば、各端末51のファイルアクセス、通信、プロセス起動等を記録する。ミッション保証装置10がミッション関連活動導出フェイズの場合は、端末センサ30の記録を通常ミッション作成部220へ送信する。ミッション保証装置10が攻撃検知フェイズの場合は、端末センサ30の記録を活動内容DB120へ格納する。
The
通信ネットワーク40は、例えば、インターネット、WAN(World Area Network)、LAN(Local Area Network)、携帯電話、PHS等の公衆回線網である。通信ネットワーク40は、ミッション保証装置10と、業務処理システム50内の各端末51と、ネットワークセンサ20を接続する。
The
(ハードウェア構成) (Hardware configuration)
図2は、ミッション保証装置10のハードウェア構成を示している。ミッション保証装置10は、例えば、CPU(Central Processing Unit)11、メモリ12、外部記憶装置13、ユーザインターフェース部14、通信インターフェース15、バス16を備えるコンピュータとして構成される。なお、各端末51およびネットワークセンサ20も同様に、CPUやメモリ等を備えるコンピュータとして構成される。
FIG. 2 shows the hardware configuration of the
CPU11は、メモリ12内に保存されたコンピュータプログラムを実行することで、所定の各機能を実現する。所定の各機能とは、ミッション関連活動動導出部200、検知部210、影響分析部220、対処導出部230、対処実施部240である。
The
メモリ12は、上述の各機能を実現するのに必要なコンピュータプログラムを記憶している。コンピュータプログラムを外部記憶装置13に記憶しておき、外部記憶装置13からメモリ12へコンピュータプログラムを読み出して、CPU11がそのコンピュータプログラムを実行してもよい。
The
外部記憶装置13は、例えば、HDD(Hard Disk Drive)やフラッシュメモリデバイス等の比較的大容量の不揮発性記憶媒体から構成される。外部記憶装置13は、ミッション保証装置10で使用する各DB100〜190を格納する。
The
ユーザインターフェース部14は、管理者H2とミッション保証装置10が情報を交換する装置であり、情報入力部と情報出力部を備える。情報入力部には、例えば、キーボード、マウス、タッチパネル、音声入力装置等がある。情報出力部には、例えば、ディスプレイ、プリンタ、音声合成装置がある。
The
なお、ミッション保証装置10は、USB(Universal Serial Bus)メモリ等の記録媒体との間で情報を入出力するためのインターフェースを備えることもできる。
The
通信インターフェース15は、ミッション保証装置10を通信ネットワーク40に接続する。
The
バス16は、CPU11、メモリ12、外部記憶装置13、ユーザインターフェース部14、インターフェース15を相互に接続し、それら各装置11〜15間での双方向通信を実現する。
The
(影響分析のシナリオ) (Impact analysis scenario)
図3に影響分析のシナリオを示す。図3では、端末51A〜51Fの頭の符号「51」を省略して示す。本シナリオでは、標的型攻撃により端末51A,51B,51C,51Dが被害を受けた時点で、端末51A,51B,51Cが検知部210によって検知されたケースを想定する。この時点では、端末51Dへの攻撃は未だ検知されていない。攻撃が検知された端末51A〜51Cを、被害確定端末52と分類できる。攻撃されているが検知されていない端末51Dを、被害推定端末53と分類できる。
Figure 3 shows the impact analysis scenario. In FIG. 3, the reference numerals “51” at the beginnings of the
本シナリオでは、今後、標的型攻撃の被害は端末51Eにも及ぶものとする。現在は攻撃されていないが将来攻撃される可能性のある端末51Eは、被害予測端末54と呼ぶことができる。影響分析部220は、業務処理システム50の
In this scenario, the damage of the targeted attack will extend to the terminal 51E in the future. The terminal 51E that is not currently attacked but may be attacked in the future can be called a damage prediction terminal 54. The
さらに、本シナリオでは、端末51Fは現在被害を受けておらず、今後も被害を受けないものとする。現在も将来も攻撃を受ける可能性のない端末51Fは、無関係端末55と分類できる。
Further, in this scenario, the
影響分析部220は、業務処理システム50を構成する各端末51から、被害確定端末52、被害推定端末53、被害予測端末54、無関係端末55をそれぞれ識別する。
The
(各種DBの構成) (Structure of various DBs)
図4は、ミッションに関連する活動を管理するミッション関連活動DB100の構成例を示す。このDB100の各レコードは、ミッション内容とその重要度を示す。このDB100は、例えば、識別子(ID)101、活動端末102、活動タイプ103、活動内容104、ミッション重要度105を管理する。
FIG. 4 shows a configuration example of a mission-related
ここで、ID101は、各ミッションを一意に識別する識別子である。活動端末102は、ミッションを実行する端末の識別子である。活動タイプ103は、ミッションの種類を示す。活動内容104は、具体的な活動内容を示す。ミッション重要度105は、ミッションの重要度を示す。ミッション重要度は、例えば、L(Low)、M(Middle)、H(High)の3段階で管理することができる。これに限らず、2段階、4段階以上で、ミッションの重要性を管理してもよいし、数値で表現してもよい。
Here, the
活動タイプ103および活動内容104には、「N/A」という値を設定できる。活動タイプ103、活動内容104に「N/A」が設定された場合、活動端末102で指定された全ての活動に対して、ミッション重要度105の値が設定される。
A value of "N / A" can be set for the
以下、図4に示した例を説明する。DB100の最上段に示す「ID=1」のレコードには、活動端末102に「端末51A」が、活動タイプ103に「内部通信」が、活動内容104に「端末51A→端末51B:80」(「80」は通信先のポート番号)が、ミッション重要度105に「M」が、それぞれ設定される。
Hereinafter, an example shown in FIG. 4 will be described. In the record of "ID = 1" shown at the top of the
「ID=2」のレコードには、活動端末102に「端末A」、活動タイプ103に「WEB通信」、活動内容104に「端末A→a.b.c.d」、ミッション重要度105に「M」が設定される。
In the record of "ID = 2", "terminal A" is set for the
「ID=3」のレコードには、活動端末102に「端末B」、活動タイプ103に「プロセス」、活動内容104に「a.exe」、ミッション重要度105に「M」が設定されている。
In the record of "ID = 3", "terminal B" is set for the
「ID=4」のレコードには、活動端末102に「端末B」、活動タイプ103に「プロセス」、活動内容104に「b.exe」、ミッション重要度105に「M」が設定されている。
In the record of "ID = 4", "terminal B" is set for the
「ID=5」のレコードには、活動端末102に「端末B」、活動タイプ103に「ポートオープン」、活動内容104に「b.exe:80」(b.exeが80番ポートでリスニングを行うことを示す)、ミッション重要度105に「H」が設定される。
For the record of "ID = 5", "Terminal B" is set for
「ID=6」のレコードには、活動端末102に「端末C」、活動タイプ103に「プロセス」、活動内容104に「c.exe」、ミッション重要度105に「L」が設定されている。
In the record of "ID = 6", "terminal C" is set for the
「ID=7」のレコードには、活動端末102に「端末D」、活動タイプ103に「N/A」、活動内容104に「N/A」、ミッション重要度105に「H」が設定されている。
In the record of "ID = 7", "terminal D" is set for the
「ID=8」のレコードには、活動端末102に「端末E」、活動タイプ103に「ポートオープン」、活動内容104に「b.exe:80」、ミッション重要度105に「H」が設定される。
In the record of "ID = 8", "terminal E" is set for the
「ID=9」のレコードには、活動端末102に「端末F」、活動タイプ103に「N/A」、活動内容104に「N/A」、ミッション重要度105に「L」が設定されている。
In the record of "ID = 9", "terminal F" is set for the
図5は、検知された攻撃を管理する検知DB110の構成例である。このDB110の各レコードは、ID111と、検知時刻112と、検知端末113、および検知理由114を記録する。
FIG. 5 is a configuration example of the
ID111は、DB110内のレコードを一意に識別する識別子である。検知時刻112は、攻撃が検知された時刻である。検知端末113は、検知対象の端末を特定する識別子である。一度に複数の端末51が検知された場合は、全ての端末の識別子が検知端末113に記載される。検知理由114は、攻撃を検知した理由である。
ID111 is an identifier that uniquely identifies a record in the
以下、図5のレコード例を幾つか説明する。「ID=1」のレコードでは、検知時刻112に「2015/12/16 10:00:00」、検知端末113に「端末A,B,C」、検知理由114に「A,B,C、3つの端末の不審活動数が閾値を超える」が設定されている。なお、この検知レコードは図3に示すシナリオと一致する。
Hereinafter, some record examples of FIG. 5 will be described. In the record of "ID = 1", the
「ID=2」のレコードには、検知時刻112に「2016/12/16 10:00:00」、検知端末113に「端末D」、検知理由114に「既知のマルウェア起動」が設定される。「ID=3」のレコードには、検知時刻112に「2017/12/16 10:00:00」、検知端末113に「端末E」、検知理由114に「既知のマルウェア起動」が設定される。
In the record of "ID = 2", "2016/12/16 10:00:00" is set at the
図6は、各端末51の活動を管理する活動内容DB120の構成例を示す。このDB120の各レコードは、ネットワークセンサ20もしくは端末センサ30が検知した、各端末51の活動内容を記録している。すなわち各レコードは、ID121、記録時刻122、活動端末123、活動種類124、活動内容125、非ミッション活動フラグ126を記録する。
FIG. 6 shows a configuration example of an
ID121は、DB120内のレコードを一意に識別する識別子である。記録時刻122は、端末51の活動を記録した時刻である。活動端末123は、活動の主体となった端末の識別子である。活動種類124は、活動の種類である。活動内容125は、実施された活動内容である。
非ミッション活動フラグ126は、検知された活動がミッション関連活動DB100に含まれない活動であるかを示すフラグである。活動内容125がミッション関連活動DB100に記載されていない活動である場合、フラグ値には「Y」が設定される。これに対し、活動内容125がミッション関連活動DB100に記載されている活動である場合、フラグ値には「N」が設定される。フラグ値に「Y」が設定された活動は、通常時には行われない活動であること、を示す。
The
図6のレコード例を説明する。「ID=1」のレコードには、記録時刻122に「2015/12/16 09:00:00」、活動端末123に「端末A」、活動種類124に「プロセス」、活動内容125に「mal.exe」、非ミッション活動フラグ126に「Y」が設定される。
An example of the record of FIG. 6 will be described. For the record of "ID = 1", "2015/12/16 09:00:00" at the
「ID=2」のレコードには、記録時刻122に「2015/12/16 09:10:00」、活動端末123に「端末A」、活動種類124に「内部通信」、活動内容125に「端末A→端末B:80」、非ミッション活動フラグ126に「N」が設定されている。
For the record of "ID = 2", "2015/12/16 09:10:00" at the
「ID=3」のレコードには、記録時刻122に「2015/12/16 09:10:00」、活動端末123に「端末A」、活動種類124に「内部通信」、活動内容125に「端末A→端末D:80」、非ミッション活動フラグ126に「N」が設定されている。
For the record of "ID = 3", "2015/12/16 09:10:00" at the
「ID=4」のレコードには、記録時刻122に「2015/12/16 09:10:00」、活動端末123に「端末A」、活動種類124に「ポートオープン」、活動内容125に「mal.exe:100」、非ミッション活動フラグ126に「Y」が設定されている。
For the record of "ID = 4", "2015/12/16 09:10:00" at the
「ID=5」のレコードには、記録時刻122に「2015/12/16 09:20:00」、活動端末123に「端末B」、活動種類124に「プロセス」、活動内容125に「mal.exe」、非ミッション活動フラグ126に「Y」が設定されている。
For the record of "ID = 5", "2015/12/16 09:20:00" at the
「ID=6」のレコードには、記録時刻122に「2015/12/16 09:30:00」、活動端末123に「端末B」、活動種類124に「内部通信」、活動内容125に「端末B→端末C:80」、非ミッション活動フラグ126に「N」が設定されている。
For the record of "ID = 6", "2015/12/16 09:30:00" at the
「ID=7」のレコードには、記録時刻122に「2015/12/16 09:30:00」、活動端末123に「端末B」、活動種類124に「ポートオープン」、活動内容125に「mal.exe:100」、非ミッション活動フラグ126に「Y」が設定されている。
For the record of "ID = 7", "2015/12/16 09:30:00" at the
「ID=8」のレコードには、記録時刻122に「2015/12/16 09:40:00」、活動端末123に「端末C」、活動種類124に「プロセス」、活動内容125に「mal.exe」、非ミッション活動フラグ126に「Y」が設定されている。
For the record of "ID = 8", "2015/12/16 09:40:00" at the
「ID=9」のレコードには、記録時刻122に「2015/12/16 09:50:00」、活動端末123に「端末C」、活動種類124に「内部通信」、活動内容125に「端末C→端末D:80」、非ミッション活動フラグ126に「N」が設定されている。
For the record of "ID = 9", "2015/12/16 09:50:00" at the
「ID=10」のレコードは、記録時刻122に「2015/12/16 10:00:00」、活動端末123に「端末C」、活動種類124に「ポートオープン」、活動内容125に「mal.exe:100」、非ミッション活動フラグ126に「Y」が設定されている。
The record of "ID = 10" is "2015/12/16 10:00:00" at the
「ID=11」のレコードには、記録時刻122に「2015/12/16 09:30:00」、活動端末123に「端末D」、活動種類124に「プロセス」、活動内容125に「mal.exe」、非ミッション活動フラグ126に「Y」が設定されている。
For the record of "ID = 11", "2015/12/16 09:30:00" at the
「ID=12」のレコードには、記録時刻122に「2015/12/16 09:40:00」、活動端末123に「端末E」、活動種類124に「ポートオープン」、活動内容125に「b.exe:80」、非ミッション活動フラグ126に「N」が設定されている。
For the record of "ID = 12", "2015/12/16 09:40:00" at the
図7は、端末51の構成を管理するシステム構成DB130の構成例を示す。このDB130の各レコードは、端末51にインストールされているOS(オペレーティングシステム)やAPP(アプリケーション)を記録している。本DB130は、管理者H2によって管理される。管理者H2が、各端末51のシステム構成の情報をDB130へ手入力することができる。または、構成を自動的に管理してミッション保証装置10へ報告する構成管理プログラムを各端末51にインストールしておき、システム構成DB130の内容を自動的に更新する構成としてもよい。なお、端末センサ30内に構成管理プログラムを設けてもよい。
FIG. 7 shows a configuration example of the
システム構成DB130は、ID131と、端末132と、資産タイプ133と、資産内容134を記録する。
The
ID131は、各レコードを一意に識別する識別子である。端末132は、対象となる端末の識別子である。資産タイプ133は、資産の種類である。資産内容134は、資産の内容を示す。図7のレコード例を説明する。
ID131 is an identifier that uniquely identifies each record. The terminal 132 is an identifier of the target terminal.
「ID=1」のレコードには、端末132に「端末A」、資産タイプ133に「OS」、資産内容134に「OS−1」が設定されている。
In the record of "ID = 1", "terminal A" is set in the terminal 132, "OS" is set in the
「ID=2」のレコードには、端末132に「端末A」、資産タイプ133に「APP」、資産内容134に「APP−1」が設定されている。
In the record of "ID = 2", "terminal A" is set for the terminal 132, "APP" is set for the
「ID=3」のレコードには、端末132に「端末B」、資産タイプ133に「OS」、資産内容134に「OS−2」が設定されている。
In the record of "ID = 3", "terminal B" is set for the terminal 132, "OS" is set for the
「ID=4」のレコードには、端末132に「端末B」、資産タイプ133に「APP」、資産内容134に「APP−1」が設定されている。
In the record of "ID = 4", "terminal B" is set for the terminal 132, "APP" is set for the
「ID=5」のレコードには、端末132に「端末C」、資産タイプ133に「OS」、資産内容134に「OS−3」が設定されている。
In the record of "ID = 5", "terminal C" is set for the terminal 132, "OS" is set for the
「ID=6」のレコードには、端末132に「端末C」、資産タイプ133に「APP」、資産内容134に「APP−1」が設定されている。
In the record of "ID = 6", "terminal C" is set for the terminal 132, "APP" is set for the
「ID=7」のレコードには、端末132に「端末D」、資産タイプ133に「OS」、資産内容134に「OS−1」が設定されている。
In the record of "ID = 7", "terminal D" is set for the terminal 132, "OS" is set for the
「ID=8」のレコードには、端末132に「端末D」、資産タイプ133に「APP」、資産内容134に「APP−1」が設定されている。
In the record of "ID = 8", "terminal D" is set for the terminal 132, "APP" is set for the
「ID=9」のレコードには、端末132に「端末E」、資産タイプ133に「OS」、資産内容134に「OS−2」が設定されている。
In the record of "ID = 9", "terminal E" is set for the terminal 132, "OS" is set for the
「ID=10」のレコードには、端末132に「端末E」、資産タイプ133に「APP」、資産内容134に「APP−1」が設定されている。
In the record of "ID = 10", "terminal E" is set for the terminal 132, "APP" is set for the
「ID=11」のレコードには、端末132に「端末F」、資産タイプ133に「OS」、資産内容134に「OS−4」が設定されている。
In the record of "ID = 11", "terminal F" is set for the terminal 132, "OS" is set for the
「ID=12」のレコードには、端末132に「端末F」、資産タイプ133に「APP」、資産内容134に「APP−4」が設定されている。
In the record of "ID = 12", "terminal F" is set for the terminal 132, "APP" is set for the
図8は、脆弱性情報を管理する脆弱性情報DB140の構成例である。このDB140の各レコードは、様々なセキュリティベンダや公的機関等から公開された脆弱性に関する情報を記録する。脆弱性情報DB140は、ID141と、脆弱性ID142と、公開日時143と、影響を受けるAPP/OS144を記録する。
FIG. 8 is a configuration example of the
ID141は、各レコードを一意に識別する識別子である。脆弱性ID142は、脆弱性を公開された機関により付与された、脆弱性の識別子である。公開日時143は、脆弱性が公開された日時を示す。影響を受けるAPP/OS144は、脆弱性により影響を受けるオペレーティングシステムやアプリケーションプログラムを示す。
図8のレコード例を説明する。「ID=1」のレコードには、脆弱性ID142に「CVE-2015-9999」、公開日時に「2015/12/10」、影響を受けるAPP/OSに「APP-1」が設定されている。
An example record of FIG. 8 will be described. In the record of "ID = 1", "CVE-2015-9999" is set for the
「ID=2」のレコードには、脆弱性ID142に「CVE-2016-9999」、公開日時に「2015/12/11」、影響を受けるAPP/OSに「OS-4」が設定されている。
In the record of "ID = 2", "CVE-2016-9999" is set for the
図9は、端末51間のネットワーク接続関係を管理するネットワーク接続性DB150の構成例である。ネットワーク接続性DB150の各レコードは、或る端末から他の端末への通信の可否を示す。通信の可否は、通信経路上のファイアーウォールや端末上で、通信が許可されているかによって決定される。本DB150は、管理者H1または管理者H2によって管理される。
FIG. 9 is a configuration example of the
ネットワーク接続性DB150は、例えば、ID151と、通信元端末152と、通信先端末153と、状態154を含む。
The
ID151は、各レコードを一意に識別するための識別子である。通信元端末152は、通信を開始する端末を示す。通信先端末153は、通信の宛先である端末を示す。状態154は、通信元端末152から通信先端末153への通信が許可されているか否かの状態を示す。
図9のレコード例を説明する。「ID=1」のレコードには、通信元端末152に「端末A」、通信先端末153に「端末E」、状態154に「可」が設定されている。
An example record of FIG. 9 will be described. In the record of "ID = 1", "terminal A" is set for the
「ID=2」のレコードには、通信元端末152に「端末A」、通信先端末153に「端末F」、状態154に「非」が設定されている。
In the record of "ID = 2", "terminal A" is set for the
「ID=3」のレコードには、通信元端末152に「端末C」、通信先端末153に「端末F」、状態154に「可」が設定されている。
In the record of "ID = 3", "terminal C" is set for the
図10は、業務処理システム50への攻撃パターンを管理する攻撃パターンDB160の構成例を示す。このDB160の各レコードは、業務処理システム50における過去の事例から得られた攻撃パターンを記録している。ここでの攻撃パターンは、ある端末が攻撃された後に他の特定の端末が攻撃された割合を示す。攻撃パターンDB160のレコードは、管理者H2が手動で入力することができる。管理者H2は、攻撃が業務処理システム50に起きるたびに、被害動向を分析し、その分析結果を攻撃パターンDB160へ入力する。管理者H2は、検知DB110の情報を基にして攻撃パターンDB160に情報を入力してもよい。
FIG. 10 shows a configuration example of an
攻撃パターンDB160は、ID161と、初期被害端末162と、継続被害端末163と、確率164とを含む。
The
ID161は、各レコードを一意に識別するための識別子である。初期被害端末162は、過去の攻撃において、相対的に先に攻撃された端末を示す。継続被害端末163は、過去の攻撃において、相対的に後に攻撃された端末を示す。確率164は、過去の攻撃において、初期被害端末162が攻撃された後に、継続被害端末163が攻撃された割合を示す。
ID161 is an identifier for uniquely identifying each record. The
図10のレコード例を説明する。「ID=1」のレコードには、初期被害端末162に「端末A」が、継続被害端末163に「端末C」が、確率164に「0.2」が設定されている。
An example of a record of FIG. 10 will be described. In the record of "ID = 1", "terminal A" is set for the
「ID=2」のレコードには、初期被害端末162に「端末C」が、継続被害端末163に「端末E」が、確率164に「0.4」が設定されている。
In the record of "ID = 2", "terminal C" is set for the
「ID=3」のレコードには、初期被害端末162に「端末A」が、継続被害端末163に「端末F」が、確率164に「0.0」が設定されている。
In the record of "ID = 3", "terminal A" is set for the
図11に関係ネットワークDB180の構成例を示す。関係ネットワークDB180は、被害推定端末に関する端末間の関係を示すネットワークと、被害予測端末に関する端末間の関係を示すネットワークと管理する。関係ネットワークDB180の各レコードは、被害推定関係ネットワーク構築部221の算出結果、または、被害予測関係ネットワーク構築部222の算出結果のいずれかを記録する。
FIG. 11 shows a configuration example of the
被害推定関係ネットワーク構築部221は、被害推定端末に関する関係ネットワークを算出する。被害予測関係ネットワーク構築部222は、被害予測端末に関する関係ネットワークを算出する。
The damage estimation relationship
関係ネットワークDB180は、ID181と、タイプ182と、関係ネットワーク183を含む。
The
ID181は、各レコードを一意に識別するための識別子である。タイプ182は、格納されている関係ネットワークの種類を示す。タイプ182には、被害推定端末を導出するネットワーク、または、被害予測端末を導出するネットワークのいずれであるかを特定するための値が記録される。関係ネットワーク183は、端末間の関係ネットワークの詳細をグラフ形式で保存する。なお、保存形式はグラフ形式に限定しない。表形式等の他の形態でもよい。
ID181 is an identifier for uniquely identifying each record.
図11のレコード例を説明する。「ID=1」のレコードは、タイプ182が「被害推定端末」であるレコードである。 An example of the record of FIG. 11 will be described. The record of "ID = 1" is a record of which type 182 is a "damage estimation terminal".
関係ネットワーク183中の各ノード184は、端末51を示す。ノード184を示す円の中には、端末51を区別するアルファベットと、数値とが記載されている。
Each
ノード184内の数値は、各端末51が被害推定端末である「事前確率」、または被害確定端末である「事前確率」のいずれかを示す。ここで「ID=1」のレコードは、被害推定端末に関するレコードであるから、そのレコードに含まれるノード184内の数値は、被害推定端末である事前確率を示している。
The numerical value in the
ここで、事前確率とは、他の端末の関係性を一切排した状況下において、或る端末が被害を受けている確率である。ここで、端末A,B,C(つまり51A,51B,51Cである)は、既に攻撃による被害が検出されれている被害確定端末であるので、それら端末A,B,Cの事前確率は1.0となっている。他の端末D,E,F(つまり51D,51E,51Fである)が被害推定端末である確率は、それぞれ、0.6,0.4,0.1となっている。 Here, the prior probability is the probability that a certain terminal is damaged in a situation where the relationship between other terminals is completely excluded. Here, since the terminals A, B, and C (that is, 51A, 51B, and 51C) are damage-determined terminals for which damage due to an attack has already been detected, the prior probabilities of those terminals A, B, and C are 1. It is 0.0. The probabilities that the other terminals D, E, and F (that is, 51D, 51E, and 51F) are damage estimation terminals are 0.6, 0.4, and 0.1, respectively.
アーク185は、アークの基端にある端末が被害を受けていると仮定した場合に、アークの先端にある端末が被害を受けている確率である「条件付き確率」を表現する。例えば、端末Aから端末Dへ向かうアーク185に着目する。このアーク185では、端末Aが被害を受けていると仮定した場合、端末Dが被害を受けている確率は0.8となる。
The
なお端末A〜Cは、被害を受けていることが判明している被害確定端末であるため、端末A〜C間では条件付き確率は存在しない。 Since the terminals A to C are damage-determined terminals that are known to be damaged, there is no conditional probability between the terminals A to C.
「ID=2」のレコードは、タイプ182が「被害予測端末」であるレコードを示している。関係ネットワーク183中の各ノード187は、端末51を示す。ノード187内の数値は、各端末が被害予測端末である「事前確率」を示す。「ID=2」のレコードにおいて、事前確率とは、他の端末の関係性を一切排した状況下で、或る端末が今後被害をうける確率を示す。
The record of "ID = 2" indicates a record of which type 182 is a "damage prediction terminal". Each
端末A〜Cは被害確定端末であるので、事前確率は1.0となる。端末D,E,Fが被害予測端末である確率は、それぞれ、0.4、0.6、0.1となる。 Since the terminals A to C are damage confirmed terminals, the prior probability is 1.0. The probabilities that terminals D, E, and F are damage prediction terminals are 0.4, 0.6, and 0.1, respectively.
アーク188は、アークの基端にある端末が被害を受けていると仮定した場合に、アークの先端にある端末が今後被害を受ける確率である「条件付き確率」を表現する。端末Aから端末Dへ向かうアーク188では、端末Aが被害を受けていると仮定した場合、今後端末Dが被害を受ける確率は0.8となる。なお、被害確定端末であるA〜C間では、条件付き確率は存在しない。
The
図12に、被害推定・被害予測DB190の構成例を示す。このDB190の各レコードは、或る端末が、被害確定端末である確率と、被害推定端末である確率と、被害予測端末である確率とを示す。確率は0.0から1.0までの間を取る。3種類の確率はそれぞれ独立して算出されるため、3つの確率の合計値が1.0を超えてもよい。各レコードは、確率算出部224によって算出される。
FIG. 12 shows a configuration example of the damage estimation /
被害推定・被害予測DB190は、端末191と、被害確定端末192と、被害推定端末193と、被害予測端末194を含む。
The damage estimation /
端末191は、確率算出の対象となる端末を示す。被害確定端末192は、端末191で特定される端末が被害確定端末である確率を示す。被害推定端末193は、端末191で特定される端末が被害推定端末である確率を示す。被害予測端末194は、端末191で特定される端末が被害予測端末である確率を示す。
The terminal 191 indicates a terminal for which the probability is calculated. The
図12のレコード例を説明する。端末191が「端末A」であるレコードでは、被害確定端末192に「1.0」、被害推定端末193に「0.0」、被害予測端末194に「0.0」が設定されている。
An example record of FIG. 12 will be described. In the record in which the terminal 191 is "terminal A", "1.0" is set for the
端末191が「端末B」であるレコードでは、被害確定端末192に「1.0」、被害推定端末193に「0.0」、被害予測端末194に「0.0」が設定されている。
In the record in which the terminal 191 is "terminal B", "1.0" is set for the
端末191が「端末C」であるレコードでは、被害確定端末192に「1.0」、被害推定端末193に「0.0」、被害予測端末194に「0.0」が設定されている。
In the record in which the terminal 191 is "terminal C", "1.0" is set for the
端末191が「端末D」であるレコードでは、被害確定端末192に「0.0」、被害推定端末193に「0.8」、被害予測端末194に「0.7」が設定されている。
In the record in which the terminal 191 is "terminal D", "0.0" is set for the
端末191が「端末E」であるレコードでは、被害確定端末192に「0.0」、被害推定端末193に「0.3」、被害予測端末194に「0.9」が設定されている。
In the record in which the terminal 191 is "terminal E", "0.0" is set for the
端末191が「端末F」であるレコードでは、被害確定端末192に「0.0」、被害推定端末193に「0.1」、被害予測端末194に「0.1」が設定されている。
In the record in which the terminal 191 is "terminal F", "0.0" is set for the
被害推定・被害予測DB190に格納されたこれらの情報は、対処導出部230が、各端末51に対する対処を実施する際に用いられる。
These pieces of information stored in the damage estimation /
図13に影響分析部220の構成例を示す。影響分析部220の入力は、ミッション関連活動DB100、検知DB110、活動内容DB120、システム構成DB130、脆弱性情報DB140、ネットワーク接続性DB150、攻撃パターンDB160、および外部ナレッジDB170の8種類のDBである。
FIG. 13 shows a configuration example of the
被害推定関係ネットワーク構築部221および被害予測関係ネットワーク構築部222は、それらDB100〜170の入力を基に、関係ネットワーク183を算出する。上述の通り、関係ネットワーク183には、被害推定端末に関する関係ネットワークと被害予測端末に関する関係ネットワークを含むことができる。なお、関係ネットワーク183を算出する際は、各DB100〜170を必ずしも全て用いる必要はない。
The damage estimation relation
管理者H2は、影響分析ユーザインタラクション部223を用いることで、算出された関係ネットワーク183を閲覧したり、操作したりすることができる。
The administrator H2 can browse and operate the
管理者H2の可能な操作には、例えば、分析対象端末であることを示すノードの追加および削除、各ノードの事前確率の修正、ノード間の条件付き確率の修正が含まれる。このような操作処理を可能としているのは、管理者H2が持つ、攻撃に対する知見や業務処理システム50に対する知見を、関係ネットワーク183に反映するためである。
Possible operations of the administrator H2 include, for example, addition and deletion of nodes indicating that they are analysis target terminals, modification of prior probabilities of each node, and modification of conditional probabilities between nodes. The reason why such operation processing is possible is that the knowledge about the attack and the knowledge about the business processing system 50 possessed by the administrator H2 are reflected in the
確率算出部224は、関係ネットワーク183を入力として、各端末が被害推定端末である事後確率と、被害予測端末である事後確率とをそれぞれ算出して、被害推定・被害予測DB190に格納する。「事後確率」は、「第2コンピュータが攻撃されている確率」に該当する。
The
事後確率の算出では、確率伝搬法等、既存のアルゴリズムを用いてもよい。事前確率と条件付き確率とを任意の方法で組み合わせることで、事後確率を求めてもよい。例えば、或る端末Xの事前確率がP_PRE(X)、端末Aから端末Xへの条件付き確率がP_A(X)、端末Bから端末Xへの条件付き確率がP_B(X)であるとき、端末Xの事後確率P_POST(X)は、以下のように求めてもよい。 In calculating posterior probabilities, existing algorithms such as belief propagation may be used. The posterior probabilities may be obtained by combining the prior probabilities and the conditional probabilities in any way. For example, when the prior probability of a terminal X is P_PRE (X), the conditional probability from terminal A to terminal X is P_A (X), and the conditional probability from terminal B to terminal X is P_B (X). The posterior probability P_POST (X) of the terminal X may be obtained as follows.
P_POST(X)=W0*P_PRE(X)+W1*P_A(X)+W2*P_B(X)・・・(式1) P_POST (X) = W0 * P_PRE (X) + W1 * P_A (X) + W2 * P_B (X) ... (Equation 1)
ここで、上記の式1中、W0、W1、W2は、各確率の重み付け係数である。重み付け係数の値は、任意の手段によって決定される。例えば、重み付け係数の値を予めDB等に保持しておいてもよい。
Here, in the
上記の式1から、より一般的な下記の式2を得ることもできる。式2を満たす任意の関数Fxを定義すればよい。
From the
P_POST(X)=Fx(P_PRE(X)、P_A(X)、P_B(X))・・・(式2) P_POST (X) = Fx (P_PRE (X), P_A (X), P_B (X)) ... (Equation 2)
図14に、被害推定関係ネットワーク構築部221の処理手順の一例を示す。本例では、被害推定関係ネットワーク構築部221は、ミッション関係活動DB100、検知DB110、活動内容DB120、システム構成DB130、脆弱性情報DB140、攻撃パターンDB160、外部ナレッジDB170を基に、被害推定端末の関係ネットワークを構築する。以下、図面中のDBの名称は適宜簡略化して示す。
FIG. 14 shows an example of the processing procedure of the damage estimation related
被害推定端末の関係ネットワークを構築するための処理手順は、以下に述べるように、大きく4つの処理S10,S11,S12,S13に分かれている。 The processing procedure for constructing the relationship network of the damage estimation terminal is roughly divided into four processing S10, S11, S12, and S13 as described below.
処理S10では、各端末51が被害推定端末である事前確率を算出する。処理S11では、被害確定端末と被害確定端末以外の他の端末との間の条件付き確率を算出する。処理S12では、被害確定端末以外の他の端末間における条件付き確率を求める。処理S13では、外部ナレッジを関係ネットワークに反映させる。 In the process S10, the prior probability that each terminal 51 is a damage estimation terminal is calculated. In the process S11, the conditional probability between the damage-determined terminal and the terminal other than the damage-determined terminal is calculated. In the process S12, the conditional probability between the terminals other than the damage confirmed terminal is obtained. In process S13, the external knowledge is reflected in the related network.
処理S10における事前確率算出では、ミッションの重要性S101と、脆弱性の有無S102という2つの点から事前確率を算出する。処理S10では、それらS101およびS102の結果を統合することで、被害推定端末である事前確率を算出する。 In the prior probability calculation in the process S10, the prior probability is calculated from two points, the importance S101 of the mission and the presence / absence of vulnerability S102. In the process S10, the prior probabilities of the damage estimation terminal are calculated by integrating the results of the S101 and S102.
ミッションの重要性を算出する処理S101では、先ず、ミッション関連DB100を参照し、各端末51のミッションにおける重要度を算出する。端末51の重要度には、その端末51が関わる活動内容104のうち、最もミッション重要度105が高い値が設定される。図4の例では、端末Aの重要度はM、端末Bの重要度はH、端末Cの重要度はL、端末Dの重要度はH、端末Eの重要度はH、端末Fの重要度はLとなる。
In the process S101 for calculating the importance of the mission, first, the mission-related
脆弱性の有無を算出する処理S102では、システム構成DB130および脆弱性情報DB140を参照して、各端末51における脆弱性の有無を2値で算出する。図7および図8に示す例では、端末Aおよび端末Fでは「脆弱性有り」、他の端末B〜Eでは「脆弱性無し」となる。但し、脆弱性の有無を2値で評価することに代えて、3値以上で評価してもよい。例えば、処理S102では、脆弱性の深刻度合いや、端末の持つ脆弱性の個数等に応じて、3値以上で評価することもできる。
In the process S102 for calculating the presence / absence of vulnerabilities, the presence / absence of vulnerabilities in each terminal 51 is calculated by two values with reference to the
処理S10は、端末の重要性(S101)と脆弱性の有無(S102)とを、被害推定端末の関係ネットワークにおける事前確率の値にマッピングするための任意の関数F_S10を持つ。例えば、下記の式3を用いる。
The process S10 has an arbitrary function F_S10 for mapping the importance of the terminal (S101) and the presence / absence of vulnerability (S102) to the value of the prior probability in the relational network of the damage estimation terminal. For example, the following
P_PRE(D)=F_S10(重要度=H、脆弱性=無)・・・(式3) P_PRE (D) = F_S10 (importance = H, vulnerability = none) ... (Equation 3)
処理S11は、アクセス有無を求める処理S103と、不審活動の類似性を求める処理S104と、被アクセスパターンの類似性を求める処理S105と、システム構成の類似性を求める処理S106、攻撃パターンの確率を算出する処理S107とを基に、或る被害確定端末から或る被害推定端末への条件付き確率を算出する。 The process S11 calculates the probability of the attack pattern, the process S103 for determining the presence / absence of access, the process S104 for determining the similarity of suspicious activities, the process S105 for determining the similarity of the accessed patterns, and the process S106 for determining the similarity of the system configuration. Based on the calculation process S107, the conditional probability from a certain damage determination terminal to a certain damage estimation terminal is calculated.
アクセス有無を求める処理S103では、或る端末から他の端末への過去一定時間以内の通信アクセスの有無を、検知DB110および活動内容DB120を基に求める。図6では、例えば、端末Aから端末Dへのアクセスと、端末Cから端末Dへのアクセスとが、いずれも「アクセス有り」となる。ここで、端末Aから端末Dへのアクセスの有無は、F_S103(A,D)と表記する。
In the process S103 for determining the presence / absence of access, the presence / absence of communication access from one terminal to another terminal within the past fixed time is determined based on the
不審活動の類似性を求める処理S104では、ある2つの端末が過去一定時間に行った不審活動の類似度を、検知DB110および活動内容DB120を基に求める。例えば、図6において、端末Dと端末A(あるいは端末Bと端末C)は、同一のプロセス「mal.exe」を起動しているので、不審活動の類似度が高いと判断できる。プロセス「mal.exe」は、端末A,Dにおいて、ミッション活動に該当しない不審な活動である。
In the process S104 for obtaining the similarity of suspicious activities, the similarity of suspicious activities performed by two terminals in the past fixed time is obtained based on the
不審活動の類似度は、各端末で行われた不審活動の記録を集合と見做して、例えばJaccard係数等の既存のアルゴリズムを用いて求めてもよいし、または、任意の関数を定義して求めてもよい。例えば、端末Aと端末Dの類似度は、F_S104(A,D)として表記する。Jaccardに基づく算出式は、計算量が少なく、全く同じ活動を複数端末に対して行う攻撃を確実に捉えることができる。 The similarity of suspicious activity may be obtained by regarding the record of suspicious activity performed at each terminal as a set and using an existing algorithm such as the Jaccard coefficient, or by defining an arbitrary function. You may ask for it. For example, the degree of similarity between the terminal A and the terminal D is expressed as F_S104 (A, D). The calculation formula based on Jaccard has a small amount of calculation, and can reliably catch an attack that performs exactly the same activity on a plurality of terminals.
不審活動の類似度(類似性)を求める別の手段として、ある2つの端末が過去一定時間に行った不審活動の発生時刻の同期性を求める方法がある。同期性算出では、2つの端末で、種類が同一である活動を行った時刻の最小差の総和を基に、活動の同期性を算出する。この方法では、活動の種類と時間のみが注目され、活動内容(どのプロセスを起動したのか、どのWEBサイトにアクセスしたのかは)は問われない。図17(a)の例では、端末Bは時刻t0,t2に不審プロセスの起動を行い、端末Dは時刻t0‘、時刻t2’に不審プロセスの起動を行う。また、端末Bは時刻t1に不審WEB通信を行い、端末Dは時刻t1‘に不審WEB通信を行う。このため、両端末における時刻の最小差の総和は、|t0−t0’|+|t1−t1’|+|t2−t2’|となり、この値が小さい程、両端末の不審活動の類似性は高いことになる。このため、総和値の逆数などを、類似度として用いることができる。 As another means for determining the similarity (similarity) of suspicious activity, there is a method for determining the synchronization of the occurrence time of suspicious activity performed by two terminals in the past fixed time. In the synchronism calculation, the synchrony of the activity is calculated based on the sum of the minimum differences in the times when the activities of the same type are performed on the two terminals. In this method, only the type and time of the activity are focused on, regardless of the activity content (which process was started, which WEB site was accessed). In the example of FIG. 17A, the terminal B starts the suspicious process at time t0 and t2, and the terminal D starts the suspicious process at time t0'and time t2'. Further, the terminal B performs suspicious WEB communication at time t1, and the terminal D performs suspicious WEB communication at time t1'. Therefore, the sum of the minimum time differences between the two terminals is | t0-t0'| + | t1-t1'| + | t2-t2'|, and the smaller this value, the more similar the suspicious activity between the two terminals. Will be expensive. Therefore, the reciprocal of the total value can be used as the degree of similarity.
よりフォーマルには、発生時刻の同期性に基づく不審活動の類似度は、spikeTrainという、複数の点過程の類似性を求める既存アルゴリズムの応用により求めてもよい。具体的な算出式の1つは図17(b)に示されるような数式となる。同期性に基づく算出式は、端末に応じて活動内容を変える攻撃であっても、類似度を算出することができる。 More formally, the similarity of suspicious activity based on the synchronization of the occurrence time may be obtained by applying spikeTrain, an existing algorithm for determining the similarity of a plurality of point processes. One of the specific calculation formulas is a formula as shown in FIG. 17 (b). The calculation formula based on synchronism can calculate the degree of similarity even for an attack that changes the activity content according to the terminal.
また、2つの端末間で攻撃が行われる時間にズレがあると、必然的に不審活動の発生時刻の差が多くなるため、図17(b)に基づく算出式の値が小さくなる。この課題に対する解決策として、キャリブレーションを行ってもよい。即ち、算出式において、一方の端末における不審活動の発生時刻を、一定時間(例えば5分)刻みでシフトさせ、最大の類似度を両端末の類似度とする。この場合、シフト時間を算出式に反映させてもよい。例えば、exp(−1×シフト時間/TH)を図17(b)の式に掛け合わせる。 Further, if there is a difference in the time when the attack is performed between the two terminals, the difference in the occurrence time of the suspicious activity inevitably increases, so that the value of the calculation formula based on FIG. 17B becomes small. Calibration may be performed as a solution to this problem. That is, in the calculation formula, the time when the suspicious activity occurs in one terminal is shifted in increments of a fixed time (for example, 5 minutes), and the maximum similarity is set as the similarity between both terminals. In this case, the shift time may be reflected in the calculation formula. For example, exp (-1 × shift time / TH) is multiplied by the equation in FIG. 17 (b).
また、Jaccard係数で求めた類似度と図17(b)で求めた類似度とを組み合わせるなど、複数の観点で算出された類似度を統合して、類似度を算出してもよい。複数の類似度を組み合わせることで、より精度が高い類似度算出が可能となる。組み合わせ式には、加重和など、複数の説明変数から1つの目的変数を算出ための一般的な方法を適用できる。 Further, the similarity calculated from a plurality of viewpoints may be integrated to calculate the similarity, such as combining the similarity obtained by the Jaccard coefficient and the similarity obtained in FIG. 17B. By combining a plurality of similarities, it is possible to calculate the similarity with higher accuracy. A general method for calculating one objective variable from a plurality of explanatory variables, such as a weighted sum, can be applied to the combination formula.
また、誤検知を防ぐために、類似度が一定の閾値を超える端末が一定数を超えた場合に、それらの端末を一括して被害推定端末と判断してもよい。この方法は、想定脅威が、複数の端末を同時に攻撃する攻撃者である場合に特に有効である。 Further, in order to prevent erroneous detection, when the number of terminals whose similarity exceeds a certain threshold value exceeds a certain number, those terminals may be collectively determined as a damage estimation terminal. This method is particularly effective when the assumed threat is an attacker who attacks a plurality of terminals at the same time.
また、前述の通り、類似度算出は、攻撃が検知された時点(被害確定端末が検知された時点)で行う。このため、攻撃が早期に検知された場合、検知時点での攻撃の活動量(攻撃に起因する不審活動の数)が少なく、類似度判定の性能に影響が出る可能性がある。しかし、攻撃活動の記録のために、被害確定端末を無対策のまま放置しておくことは好ましくない。この問題の解決策として、攻撃者をおびき寄せる囮端末(ハニーポット端末)を予めネットワークに設置し、囮端末への攻撃の活動を記録することで、類似度判定に必要な量の不審活動を取得するという方法がある。 Further, as described above, the similarity calculation is performed at the time when the attack is detected (when the damage confirmed terminal is detected). Therefore, if an attack is detected early, the amount of attack activity (the number of suspicious activities caused by the attack) at the time of detection is small, which may affect the performance of similarity determination. However, it is not preferable to leave the damage-determined terminal untouched in order to record the attack activity. As a solution to this problem, a decoy terminal (honeypot terminal) that attracts attackers is installed in the network in advance, and the activity of the attack on the decoy terminal is recorded to acquire the amount of suspicious activity required for similarity judgment. There is a way to do it.
被アクセスパターンの類似性を求める処理S105では、或る端末が被害確定端末からアクセスされた際に用いられた通信ポートと、他の端末が他の被害確定端末からアクセスされた際に用いられた通信ポートとが一致する割合を、検知DB110および活動内容DB120を基に判断する。
In the process S105 for obtaining the similarity of the accessed patterns, the communication port used when a certain terminal was accessed from the damage-determined terminal and the communication port used when the other terminal was accessed from the other damage-determined terminal. The ratio of matching with the communication port is determined based on the
図6の例では、端末Bと端末Eを比べると、端末Bが端末Aからアクセスされた80番ポートは、端末Dにおいてもアクセスされている。端末Dも端末Aから80番ポートを介してアクセスされている。したがって、端末Bと端末Dとでは、被アクセスパターンの類似度は高い。ここで、端末Bの被アクセスパターンと端末Dの被アクセスパターンとの類似性は、F_S105(B,D)と表記する。
In the example of FIG. 6, comparing the terminal B and the terminal E, the
システム構成の類似性を求める処理S106では、2つの端末間のシステム構成の類似度を、検知DB110およびシステム構成DB130を基に求める。例えば、図7において、端末Aと端末Dは、同一のオペレーティングシステム(OS−1)および同一のアプリケーション(APP−1)を用いている。このため、両端末A,Dのシステム構成の類似度は高い。システム構成の類似度は、各端末のシステム構成を集合と見做して、Jaccard係数等の既存のアルゴリズムを用いて求めてもよいし、または、任意の関数を定義して求めてもよい。例えば、端末Aと端末Dのシステム構成の類似度は、F_S106(A,D)として表記する。
In the process S106 for obtaining the similarity of the system configuration, the degree of similarity of the system configuration between the two terminals is obtained based on the
攻撃パターンの確率を算出する処理S107では、端末間の攻撃パターンに基づき、或る端末が攻撃された場合に、その後に、他の端末が攻撃される確率を求める。確率算出には、検知DB110および攻撃パターンDBを用いる。図10の例では、端末Cが攻撃された場合、その後に、他の端末Eが攻撃される確率は、0.4となる。これを、F_S107を関数として定義し、F_S107(A,D)=0.4と表記する。
In the process S107 for calculating the probability of the attack pattern, when a certain terminal is attacked, the probability that another terminal is attacked is obtained based on the attack pattern between the terminals. The
処理S11では、上述した各処理S103,S104,S105,S106,S107での算出結果を基に、被害確定端末Xと被害推定端末Yの間の条件付き確率P_X(Y)を、任意の関数F_Cond1を用いて以下の通り求める。 In the process S11, the conditional probability P_X (Y) between the damage determination terminal X and the damage estimation terminal Y is set to an arbitrary function F_Cond1 based on the calculation results in each of the above processes S103, S104, S105, S106, and S107. Is obtained as follows using.
P_X(Y)=F_Cond1(F_S103(X,Y)、F_S104(X,Y)、F_S105(X,Y)、F_S106(X,Y)、F_S107(X,Y))・・・(式4) P_X (Y) = F_Cond1 (F_S103 (X, Y), F_S104 (X, Y), F_S105 (X, Y), F_S106 (X, Y), F_S107 (X, Y)) ... (Equation 4)
F_cond1は例えば、以下のような線形関数でもよい。 F_cond1 may be, for example, the following linear function.
F_cond1=Wc*F_S103(X,Y)+Wd*F_S104(X,Y)+We*F_S105(X,Y)+Wf*F_S106(X,Y)+Wg*F_S107(X,Y)・・・(式5) F_cond1 = Wc * F_S103 (X, Y) + Wd * F_S104 (X, Y) + We * F_S105 (X, Y) + Wf * F_S106 (X, Y) + Wg * F_S107 (X, Y) ... (Equation 5)
ここで、Wc,Wd,We、Wf,Wgは各要素の重み付け係数であり、任意の手段によって決定する。 Here, Wc, Wd, We, Wf, and Wg are weighting coefficients of each element, and are determined by any means.
処理S12は、アクセス有無を求める処理S103、不審活動の類似性を求める処理S104、被アクセスパターンの類似性を求める処理S105、システム構成の類似性を求める処理S106、攻撃パターンの確率を求める処理S107を基に、或る被害推定端末から他の或る被害推定端末への条件付き確率P_X(Y)を、任意の関数F_Cond2を用いて以下の通り求める。 The process S12 is a process S103 for determining the presence / absence of access, a process S104 for determining the similarity of suspicious activities, a process S105 for determining the similarity of accessed patterns, a process S106 for determining the similarity of system configurations, and a process S107 for determining the probability of an attack pattern. Based on the above, the conditional probability P_X (Y) from a certain damage estimation terminal to another certain damage estimation terminal is obtained as follows using an arbitrary function F_Cond2.
P_X(Y)=F_Cond2(F_S103(X,Y)、F_S104(X,Y)、F_S105(X,Y)、F_S106(X,Y)、F_S107(X,Y))・・・(式6) P_X (Y) = F_Cond2 (F_S103 (X, Y), F_S104 (X, Y), F_S105 (X, Y), F_S106 (X, Y), F_S107 (X, Y)) ... (Equation 6)
F_cond2は例えば、以下のような線形関数でもよい。 F_cond2 may be, for example, the following linear function.
F_cond1=Wc*F_S103(X,Y)+Wd*F_S104(X,Y)+We*F_S105(X,Y)+Wf*F_S106(X,Y)+Wg*F_S107(X,Y)・・・(式7) F_cond1 = Wc * F_S103 (X, Y) + Wd * F_S104 (X, Y) + We * F_S105 (X, Y) + Wf * F_S106 (X, Y) + Wg * F_S107 (X, Y) ... (Equation 7)
Wc,Wd,We、Wf,Wgは各要素の重み付け係数であり、任意の手段によって決定する(以下同様)。 Wc, Wd, We, Wf, and Wg are weighting coefficients of each element and are determined by any means (the same applies hereinafter).
処理S13では、外部ナレッジを反映する処理S108が、外部ナレッジDB170を参照して、処理S12までに求めた事前確率および条件付き確率を修正する。例えば「端末Aを攻撃した端末は、その後に端末Dを攻撃する確度が高い」といった専門家の知見がある場合、処理S108では端末Aから端末Dへの条件付き確率の値を増加等する。
In the process S13, the process S108 reflecting the external knowledge modifies the prior probabilities and the conditional probabilities obtained up to the process S12 with reference to the
図15に、被害予測関係ネットワーク構築部222の処理手順の一例を示す。本例では、被害予測関係ネットワーク構築部222は、ミッション関係活動DB100、検知DB110、活動内容DB120、システム構成DB130、脆弱性情報DB140、ネットワーク接続性DB150、攻撃パターンDB160および外部ナレッジDB170を基に、被害推定端末の関係ネットワークを構築する。
FIG. 15 shows an example of the processing procedure of the damage prediction related
処理手順は、以下に述べるように大きく4つに分かれている。処理S20では、各端末が被害予測端末である事前確率を算出する。処理S21では、被害確定端末と被害確定端末以外の他の端末との間の条件付き確率を算出する。処理S22では、被害確定端末以外の他の端末間における条件付き確率を求める。処理S23では、外部ナレッジを関係ネットワークに反映させる。 The processing procedure is roughly divided into four as described below. In the process S20, the prior probability that each terminal is a damage prediction terminal is calculated. In the process S21, the conditional probability between the damage-determined terminal and the terminal other than the damage-determined terminal is calculated. In the process S22, the conditional probability between the terminals other than the damage confirmed terminal is obtained. In process S23, the external knowledge is reflected in the related network.
処理S20での事前確率の算出は、図14で述べた処理S10と同様のため、説明を割愛する。図15では、処理S101の符号をS201と、処理S102の符号をS202と変更しているが、その内容は同一である。さらに、処理S106,S107,S108の符号もS206,S207,S208と変更しているが、その内容は同一である。 Since the calculation of the prior probability in the process S20 is the same as that in the process S10 described with reference to FIG. 14, the description thereof will be omitted. In FIG. 15, the code of the process S101 is changed to S201 and the code of the process S102 is changed to S202, but the contents are the same. Further, the codes of the processes S106, S107, and S108 are also changed to S206, S207, and S208, but the contents are the same.
処理S21は、接続性の有無を求める処理S203と、推定アクセス手段の存在を求める処理S204と、システム構成の類似性を求めるS206と、攻撃パターンの確率を算出する処理S207とを基に、或る被害確定端末から或る被害予測端末への条件付き確率を算出する。 The process S21 is based on the process S203 for determining the presence or absence of connectivity, the process S204 for determining the existence of the estimated access means, the process S206 for determining the similarity of the system configuration, and the process S207 for calculating the probability of the attack pattern. Calculate the conditional probability from the damage confirmation terminal to a certain damage prediction terminal.
接続性の有無を求める処理S203は、ある2つの端末間で通信が可能かどうかを、ネットワーク接続性DB150を用いて判断する。図9の例では、端末Aから端末Eへの通信は可能であるため、F_S203(端末A,端末E)=「有」と表記できる。関数は、1.0等の任意の数値を返す形でもよい。
The process S203 for determining the presence or absence of connectivity determines whether or not communication is possible between a certain two terminals by using the
推定アクセス手段の存在を求める処理S204では、ミッション関連DB100、検知DB110、活動内容120を参照して、攻撃検知の時刻から一定時間内の過去に、被害確定端末に対して発生したアクセス手段と類似のアクセス手段を、被害予測端末がミッション関連活動として有しているかを判断する。
In the process S204 for requesting the existence of the estimated access means, the mission-related DB100, the detection DB110, and the
図6の例では、被害確定端末である端末Bが80番ポートにアクセスされているのに対し、図4の例では、被害予測端末である端末Eもミッションとして80番ポートを開いている。このため、関数F_S203を用いて、F_S203(端末A,端末E)=「有」と表記できる。関数は、1.0等の任意の数値を返す形でもよい。
In the example of FIG. 6, terminal B, which is a damage-determined terminal, is accessing
処理S21では、S203(接続性の有無),S204(推定アクセス手段の存在),S206(システム構成の類似性)、S207(攻撃パターンの確率)での算出結果を基に、被害確定端末Xと被害予測端末Yの間の条件付き確率P_X(Y)を、任意の関数F_Cond3を用いて以下の通り求める。 In the process S21, based on the calculation results in S203 (presence / absence of connectivity), S204 (existence of estimated access means), S206 (similarity of system configuration), and S207 (probability of attack pattern), the damage determination terminal X and The conditional probability P_X (Y) between the damage prediction terminals Y is obtained as follows using an arbitrary function F_Cond3.
P_X(Y)=F_Cond3(F_S203(X,Y)、F_S204(X,Y)、F_S206(X,Y)、F_S207(X,Y))・・・(式8) P_X (Y) = F_Cond3 (F_S203 (X, Y), F_S204 (X, Y), F_S206 (X, Y), F_S207 (X, Y)) ... (Equation 8)
F_cond3は例えば、以下のような線形関数でもよい。 F_cond3 may be, for example, the following linear function.
F_cond3=Wi*F_S203(X,Y)+Wj*F_S204(X,Y)+Wf*F_S206(X,Y)+Wg*F_S207(X,Y)・・・(式9) F_cond3 = Wi * F_S203 (X, Y) + Wj * F_S204 (X, Y) + Wf * F_S206 (X, Y) + Wg * F_S207 (X, Y) ... (Equation 9)
処理S22は、接続性の有無を求める処理S203、推定アクセス手段の存在を求める処理S204、システム構成の類似性を求める処理S206、攻撃パターンの確率を求める処理S207を基に、或る被害予測端末から他の被害予測端末への条件付き確率を算出する。 The process S22 is based on a process S203 for determining the presence or absence of connectivity, a process S204 for determining the existence of an estimated access means, a process S206 for determining the similarity of system configurations, and a process S207 for determining the probability of an attack pattern. Calculates the conditional probability to other damage prediction terminals from.
類似アクセス手段の存在を求める処理S205は、ミッション関連活動DB100および検知DB110を参照し、2つの被害予測端末の間に類似のアクセス手段があるかどうかを判断する。
The process S205 for requesting the existence of similar access means refers to the mission-related
図4の例では、80番ポートを開いている端末Eと同様のアクセス手段を提供している被害予測端末は無いため、F_S205(端末E,端末D)=F_S205(端末E,端末F)=「無」となる。関数は、1.0等の任意の数値を返す形でもよい。 In the example of FIG. 4, since there is no damage prediction terminal that provides the same access means as the terminal E that opens the 80th port, F_S205 (terminal E, terminal D) = F_S205 (terminal E, terminal F) = It becomes "nothing". The function may be in the form of returning an arbitrary numerical value such as 1.0.
処理S22においては、S203,S205、S206、S207での算出結果を基に、被害予測端末Xと他の被害予測端末Yの間の条件付き確率P_X(Y)を、任意の関数F_Cond4を用いて以下の通り求める。 In the process S22, the conditional probability P_X (Y) between the damage prediction terminal X and the other damage prediction terminal Y is determined by using an arbitrary function F_Cond4 based on the calculation results in S203, S205, S206, and S207. Obtain as follows.
P_X(Y)=F_Cond4(F_S203(X,Y)、F_S205(X,Y)、F_S206(X,Y)、F_S207(X,Y))・・・(式10) P_X (Y) = F_Cond4 (F_S203 (X, Y), F_S205 (X, Y), F_S206 (X, Y), F_S207 (X, Y)) ... (Equation 10)
F_cond3は例えば、以下のような線形関数でもよい。 F_cond3 may be, for example, the following linear function.
F_cond3=Wい*F_S203(X,Y)+Wk*F_S205(X,Y)+Wf*F_S206(X,Y)+Wg*F_S207(X,Y)・・・(式11) F_cond3 = W * F_S203 (X, Y) + Wk * F_S205 (X, Y) + Wf * F_S206 (X, Y) + Wg * F_S207 (X, Y) ... (Equation 11)
処理S23における外部ナレッジの反映は、処理S13と同様のため、割愛する。 The reflection of the external knowledge in the process S23 is the same as in the process S13, and is therefore omitted.
図16は、影響分析部220の演算結果を提供する画面G1の例である。影響分析結果画面G1は、業務処理システム50に存在する被害推定端末と被害予測端末に関する情報を管理者H2等へ提供する。管理者H2は、画面G1を通じて、影響分析ユーザインタラクション部223から影響分析部220の演算結果の一部を操作することもできる。
FIG. 16 is an example of the screen G1 that provides the calculation result of the
被害推定端末に関する情報の提供部は、被害推定端末の関係ネットワークについての詳細情報を表示する表示部GP11と、被害推定端末の関係ネットワークをグラフとして表示する表示部GP12を有する。 The information providing unit regarding the damage estimation terminal includes a display unit GP11 that displays detailed information about the related network of the damage estimation terminal, and a display unit GP12 that displays the related network of the damage estimation terminal as a graph.
被害予測端末に関する情報の提供部は、被害予測端末の関係ネットワークについての詳細情報を表示する表示部GP13と、被害予測端末の関係ネットワークをグラフとして表示する表示部GP14を有する。 The information providing unit regarding the damage prediction terminal has a display unit GP13 that displays detailed information about the related network of the damage prediction terminal and a display unit GP14 that displays the related network of the damage prediction terminal as a graph.
管理者H2は、ポインタ186に示すように、条件付き確率の値を手動で変更することもできる。さらに、管理者H2は、ポインタ189に示すように、ノード内の事前確率の値を手動で変更することもできる。ただし、管理者H2は、被害確定端末の確率を変更することはできない。
The administrator H2 can also manually change the value of the conditional probability as indicated by the
このように構成される本実施例によれば、複数の端末51を含む業務処理システム50において、複数の端末をまたがる攻撃により被害を受ける範囲を従来よりも精度良く分析することができ、業務処理システムの管理効率を向上できる。
According to the present embodiment configured as described above, in the business processing system 50 including a plurality of
さらに本実施例によれば、いわゆる標的型攻撃やマルウェアの活動による影響を分析でき、それら攻撃や活動への対処方法を導出して実施することができる。したがって、業務処理システム50の信頼性を高めることができる。 Furthermore, according to this embodiment, it is possible to analyze the effects of so-called targeted attacks and malware activities, and to derive and implement countermeasures against those attacks and activities. Therefore, the reliability of the business processing system 50 can be improved.
さらに本実施例によれば、業務処理システム50を構成する各端末51について、業務処理上のミッションの重要度を定義するため、攻撃による影響範囲をミッションの重要性に応じて分析することができ、ミッションの重要性を考慮した対処方法を導出し、実施することができる。 Further, according to this embodiment, since the importance of the mission in business processing is defined for each terminal 51 constituting the business processing system 50, the range of influence of the attack can be analyzed according to the importance of the mission. , It is possible to derive and implement a coping method that considers the importance of the mission.
なお、本発明は、上述した実施形態に限定されない。当業者であれば、本発明の範囲内で、種々の追加や変更等を行うことができる。上述の実施形態において、添付図面に図示した構成例に限定されない。本発明の目的を達成する範囲内で、実施形態の構成や処理方法は適宜変更することが可能である。 The present invention is not limited to the above-described embodiment. Those skilled in the art can make various additions and changes within the scope of the present invention. In the above-described embodiment, the configuration is not limited to the configuration example shown in the accompanying drawings. The configuration and processing method of the embodiment can be appropriately changed within the range of achieving the object of the present invention.
また、本発明の各構成要素は、任意に取捨選択することができ、取捨選択した構成を具備する発明も本発明に含まれる。さらに特許請求の範囲に記載された構成は、特許請求の範囲で明示している組合せ以外にも組み合わせることができる。 In addition, each component of the present invention can be arbitrarily selected, and an invention having the selected configuration is also included in the present invention. Further, the configurations described in the claims can be combined in addition to the combinations specified in the claims.
10:ミッション保証装置、20:ネットワークセンサ、30:端末センサ、40:通信ネットワーク、50:業務処理システム、51:端末、200:ミッション関連活動導出部、210:検知部、220:影響分析部、221:被害推定関係ネットワーク構築部、222:被害予測関係ネットワーク構築部、223:影響分析ユーザインタラクション部、224:確率算出部、230:対処導出部、240:対処実施部、221
10: Mission guarantee device, 20: Network sensor, 30: Terminal sensor, 40: Communication network, 50: Business processing system, 51: Terminal, 200: Mission-related activity derivation unit, 210: Detection unit, 220: Impact analysis unit, 221: Damage estimation relation network construction department 222: Damage prediction relation network construction department 223: Impact analysis user interaction department 224: Probability calculation department, 230: Countermeasure derivation department, 240:
Claims (14)
業務処理に関連して前記複数のコンピュータで実行される活動およびその活動の重要度を管理する活動管理部と、
前記各コンピュータに対する攻撃を検知する検知部と、
前記各コンピュータで実行される情報処理活動の重要度と、前記各コンピュータのシステム構成と、前記検知部による検知結果とに基づいて、前記各コンピュータのうちいずれか一つ以上のコンピュータに対する攻撃の影響を分析する影響分析部と、
を備える業務処理システム監視装置。 A business processing system monitoring device that monitors a business processing system that includes multiple computers.
The activity management department that manages the activities executed by the plurality of computers in relation to business processing and the importance of the activities,
A detector that detects attacks on each computer,
The effect of an attack on any one or more of the computers based on the importance of the information processing activity executed by each computer, the system configuration of each computer, and the detection result by the detection unit. Impact analysis department that analyzes
A business processing system monitoring device equipped with.
請求項1に記載の業務処理システム監視装置。 The impact analysis unit detects the first computer in which the attack is detected and the second computer that has not been detected but may be attacked, and the second computer is attacked. Calculate the probability of
The business processing system monitoring device according to claim 1.
前記情報処理活動の重要度に基づいて、前記各コンピュータが前記第2コンピュータである事前確率を算出し、さらに、
前記第1コンピュータのシステム構成との類似度に基づいて、前記各コンピュータが前記第2コンピュータである条件付き確率を算出し、
前記事前確率と前記条件付き確率とから前記第2コンピュータが攻撃されている確率を算出する、
請求項2に記載の業務処理システム監視装置。 The impact analysis department
Based on the importance of the information processing activity, the prior probability that each computer is the second computer is calculated, and further,
Based on the similarity with the system configuration of the first computer, the conditional probability that each computer is the second computer is calculated.
The probability that the second computer is being attacked is calculated from the prior probability and the conditional probability.
The business processing system monitoring device according to claim 2.
請求項3に記載の業務処理システム監視装置。 The influence analysis unit calculates the conditional probability that each computer is the second computer based on the similarity with the information indicating the behavior of the first computer.
The business processing system monitoring device according to claim 3.
請求項4に記載の業務処理システム監視装置。 The impact analysis unit determines the presence or absence of a vulnerability in each computer by comparing the vulnerability information indicating the relationship between the computer system configuration and the vulnerability with the system configuration of each computer, and determines the presence or absence of the vulnerability. Based on the determination result regarding the presence or absence of sex, the conditional probability that each computer is the second computer is calculated.
The business processing system monitoring device according to claim 4.
請求項5に記載の業務処理システム監視装置。 The impact analysis unit determines the presence / absence of communication access between the computers using the information regarding the presence / absence of communication access between the computers, and based on the determination result, the computers make the first. 2 Calculate the conditional probability of being a computer,
The business processing system monitoring device according to claim 5.
請求項6に記載の業務処理システム監視装置。 The impact analysis unit calculates the conditional probability that each computer is the second computer based on the information indicating the attack pattern between the computers.
The business processing system monitoring device according to claim 6.
請求項3に記載の業務処理システム監視装置。 The influence analysis unit calculates the posterior probability that each computer is the second computer by using the belief propagation method based on the prior probability and the conditional probability.
The business processing system monitoring device according to claim 3.
請求項8に記載の業務処理システム監視装置。 The impact analysis unit further detects a third computer among the computers that may be attacked in the future, and calculates the probability that the third computer will be attacked in the future.
The business processing system monitoring device according to claim 8.
前記情報処理活動の重要度に基づいて、前記各コンピュータが前記第3コンピュータとなる事前確率を算出し、
前記各コンピュータ間での通信アクセスの有無に関する情報を用いて、前記各コンピュータ間での通信アクセスの有無を判定し、
前記通信アクセスの有無についての判定結果と、前記第1コンピュータとのシステム構成との類似度とに基づいて、前記各コンピュータが前記第3コンピュータとなる条件付き確率を算出し、
前記事前確率と前記条件付き確率とから前記第3コンピュータが将来攻撃される確率を算出する、
請求項9に記載の業務処理システム監視装置。 The impact analysis department
Based on the importance of the information processing activity, the prior probability that each computer becomes the third computer is calculated.
Using the information regarding the presence / absence of communication access between the computers, the presence / absence of communication access between the computers is determined.
Based on the determination result regarding the presence or absence of the communication access and the similarity with the system configuration with the first computer, the conditional probability that each computer becomes the third computer is calculated.
From the prior probability and the conditional probability, the probability that the third computer will be attacked in the future is calculated.
The business processing system monitoring device according to claim 9.
前記影響分析結果画面には、
前記第1、第2、第3コンピュータに対応する図形要素と、
関係するコンピュータであることを示す線と、
前記第1、第2、第3コンピュータに関する確率の値と、
前記線に関する確率の値と、
が表示され、
前記図形要素、前記線、前記確率の値の少なくともいずれか一つは、ユーザの指示で変更可能である、
請求項10に記載の業務処理システム監視装置。 The impact analysis unit generates an impact analysis result screen that displays the results of the impact analysis.
On the impact analysis result screen,
Graphical elements corresponding to the first, second, and third computers, and
A line indicating that it is a related computer,
Probability values for the first, second, and third computers and
The value of the probability for the line and
Is displayed,
At least one of the graphic element, the line, and the value of the probability can be changed by a user's instruction.
The business processing system monitoring device according to claim 10.
前記対処導出部は、
前記第2コンピュータが攻撃されている確率に基づいて、前記第2コンピュータへの攻撃に対処する方法を判断し、
前記第3コンピュータが将来攻撃される確率に基づいて、前記第3コンピュータへの攻撃に対処する方法を判断する、
請求項11に記載の業務処理システム監視装置。 Further, a coping derivation unit for determining a coping method for protecting the second computer and the third computer is provided.
The coping derivation unit
Based on the probability that the second computer has been attacked, a method for dealing with the attack on the second computer is determined.
Determine how to deal with an attack on the third computer based on the probability that the third computer will be attacked in the future.
The business processing system monitoring device according to claim 11.
前記監視装置は、
業務処理に関連して前記複数のコンピュータで実行される活動およびその活動の重要度を管理しており、
前記各コンピュータに対する攻撃を検知する検知ステップと、
前記各コンピュータで実行される情報処理活動の重要度と、前記各コンピュータのシステム構成と、前記検知ステップによる検知結果とに基づいて、前記各コンピュータのうちいずれか一つ以上のコンピュータに対する攻撃の影響を分析する影響分析ステップと、を備える、
業務処理システム監視方法。 A business processing system monitoring method that monitors a business processing system including multiple computers with a monitoring device.
The monitoring device is
It manages the activities executed by the multiple computers related to business processing and the importance of those activities.
A detection step that detects an attack on each computer,
The effect of an attack on any one or more of the computers based on the importance of the information processing activity executed by each computer, the system configuration of each computer, and the detection result by the detection step. With an impact analysis step to analyze,
Business processing system monitoring method.
業務処理に関連して前記複数のコンピュータで実行される活動およびその活動の重要度を管理する重要度管理機能と、
前記各コンピュータに対する攻撃を検知する検知機能と、
前記各コンピュータで実行される情報処理活動の重要度と、前記各コンピュータのシステム構成と、前記検知機能による検知結果とに基づいて、前記各コンピュータのうちいずれか一つ以上のコンピュータに対する攻撃の影響を分析する影響分析機能とを、
コンピュータ上に実現するためのコンピュータプログラム。 A computer program for realizing a business processing system monitoring device that monitors a business processing system including a plurality of computers.
An activity that is executed on the plurality of computers in relation to business processing and an importance management function that manages the importance of the activity, and
A detection function that detects attacks on each computer,
The effect of an attack on any one or more of the computers based on the importance of the information processing activity executed by each computer, the system configuration of each computer, and the detection result by the detection function. With the impact analysis function to analyze
A computer program to be realized on a computer.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016099215 | 2016-05-18 | ||
JP2016099215 | 2016-05-18 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017211978A JP2017211978A (en) | 2017-11-30 |
JP6774881B2 true JP6774881B2 (en) | 2020-10-28 |
Family
ID=60474842
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017006126A Active JP6774881B2 (en) | 2016-05-18 | 2017-01-17 | Business processing system monitoring device and monitoring method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6774881B2 (en) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7017163B2 (en) * | 2018-01-22 | 2022-02-08 | 日本電気株式会社 | Network control device and network control method |
JP6883535B2 (en) * | 2018-02-20 | 2021-06-09 | Kddi株式会社 | Attack prediction device, attack prediction method and attack prediction program |
US11350366B2 (en) * | 2018-04-16 | 2022-05-31 | Panasonic Intellectual Property Corporation Of America | Communication apparatus and communication method |
JP6913057B2 (en) * | 2018-06-07 | 2021-08-04 | 株式会社日立製作所 | Damage Prediction Method, Damage Prediction System and Program |
JP7095506B2 (en) * | 2018-09-05 | 2022-07-05 | 日本電信電話株式会社 | Estimating method, estimation device and estimation program |
JP7099533B2 (en) * | 2018-09-25 | 2022-07-12 | 日本電気株式会社 | Impact range estimation device, impact range estimation method, and program |
CN111651753A (en) * | 2019-03-04 | 2020-09-11 | 顺丰科技有限公司 | User behavior analysis system and method |
CN113544676B (en) * | 2019-03-12 | 2024-07-26 | 三菱电机株式会社 | Attack estimation device, attack estimation method, and recording medium |
WO2021144975A1 (en) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | Information processing device and program |
WO2023032015A1 (en) * | 2021-08-30 | 2023-03-09 | 日本電気株式会社 | Attack analysis support device, attack analysis support method, and computer-readable storage medium |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004054706A (en) * | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | Security risk management system, program, and recording medium thereof |
JP4448307B2 (en) * | 2003-09-29 | 2010-04-07 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Security management device, security management method, and security management program |
GB0513375D0 (en) * | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
JP6298680B2 (en) * | 2014-03-28 | 2018-03-20 | 株式会社日立製作所 | Security countermeasure support system |
-
2017
- 2017-01-17 JP JP2017006126A patent/JP6774881B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017211978A (en) | 2017-11-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6774881B2 (en) | Business processing system monitoring device and monitoring method | |
US10791133B2 (en) | System and method for detecting and mitigating ransomware threats | |
Varshney et al. | A phish detector using lightweight search features | |
JP4851150B2 (en) | Efficient white listing of user-modifiable files | |
Shameli-Sendi et al. | Intrusion response systems: survey and taxonomy | |
US7530104B1 (en) | Threat analysis | |
JP6703616B2 (en) | System and method for detecting security threats | |
Asif et al. | Network intrusion detection and its strategic importance | |
Aldauiji et al. | Utilizing cyber threat hunting techniques to find ransomware attacks: A survey of the state of the art | |
JP4995170B2 (en) | Fraud detection method, fraud detection device, fraud detection program, and information processing system | |
Khosravi et al. | Alerts correlation and causal analysis for APT based cyber attack detection | |
EP3352110B1 (en) | System and method for detecting and classifying malware | |
US20170155683A1 (en) | Remedial action for release of threat data | |
Cen et al. | Ransomware early detection: A survey | |
Milosevic et al. | Malware threats and solutions for trustworthy mobile systems design | |
JP5413010B2 (en) | Analysis apparatus, analysis method, and program | |
WO2024039984A1 (en) | Anti-malware behavioral graph engines, systems and methods | |
Gazzan et al. | Key factors influencing the rise of current ransomware attacks on industrial control systems | |
JP7019533B2 (en) | Attack detection device, attack detection system, attack detection method and attack detection program | |
US20240176880A1 (en) | Automated Identification of Malware Families Based on Shared Evidences | |
US20230161874A1 (en) | Malware protection based on final infection size | |
US20230133892A1 (en) | Comprehensible threat detection | |
Lakhdhar et al. | Proactive security for safety and sustainability of mission critical systems | |
Anand et al. | Comparative study of ransomwares | |
JP7168010B2 (en) | Action plan estimation device, action plan estimation method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190920 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200824 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200908 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201005 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6774881 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |